Phylapp
Gestion des incidents et des crises cyber

Qui doit piloter la réponse en cas d’incident cyber ?

La question de qui pilote la réponse à un incident doit être répondue avant l'incident. Une structure de commandement claire, connue et testée est déterminante dans la qualité de la réponse.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 19 lectures

Points clés

  • La question « qui pilote la réponse ? » doit être répondue avant l'incident — pas découverte dans le chaos des premières heures.
  • La réponse à un incident majeur nécessite une coordination entre technique, métier, communication et direction — avec une autorité clairement désignée.
  • Le responsable de la réponse n'est pas nécessairement le plus compétent techniquement — il doit être capable de décider, de coordonner et de communiquer sous pression.
  • Les rôles et responsabilités de la réponse à incident doivent être formalisés, connus, et testés régulièrement.
Cas US Morgan Stanley (après amendes) — Suite aux amendes liées à la gestion défaillante des données lors du déclassement de serveurs, Morgan Stanley a revu sa structure de réponse aux incidents. L'établissement a clarifié les rôles : le RSSI pilote la réponse technique, le directeur juridique pilote les obligations réglementaires et les communications avec les autorités, le directeur de la communication gère la communication externe, et le comité exécutif est convoqué pour les incidents de seuil significatif. Cette clarification des rôles a été documentée, communiquée et testée régulièrement.

La confusion des rôles : principal facteur d'échec

Dans la majorité des incidents mal gérés, la confusion des rôles figure parmi les causes premières. Qui prend la décision d'isoler les systèmes ? Qui autorise le paiement d'une rançon ? Qui valide la communication vers les autorités ? Qui s'adresse aux médias ? Quand ces questions se posent dans le feu de l'action, sans réponse préétablie, les délais s'accumulent, les décisions sont contradictoires, et les tensions entre équipes s'amplifient. La clarification des rôles en amont est l'une des mesures préventives les plus simples et les plus efficaces.

La structure de commandement de crise

Une réponse à incident efficace repose sur une structure de commandement à plusieurs niveaux. Au niveau opérationnel : les équipes techniques qui conduisent l'investigation, le confinement et la remédiation. Au niveau de coordination : un responsable de la réponse qui coordonne les différentes équipes, prend les décisions opérationnelles et escalade les décisions stratégiques. Au niveau exécutif : la direction qui prend les décisions à fort impact — paiement de rançon, notification publique, arrêt de services. Ces niveaux doivent être définis et connus de tous.

Qui doit être le responsable de la réponse ?

Le responsable de la réponse à incident (ou Incident Commander) n'est pas nécessairement le RSSI ou le DSI. Pour les incidents d'ampleur significative, ce rôle peut être tenu par un directeur opérationnel, un directeur des risques, ou un membre de la direction générale capable de coordonner des fonctions multiples sous pression. Ce qui prime, c'est la capacité à décider avec une information partielle, à coordonner des équipes aux expertises différentes, et à maintenir une communication cohérente vers l'intérieur et l'extérieur.

Cas EU Thales (bonnes pratiques) — Thales a développé une organisation de réponse aux incidents structurée sur le modèle militaire — avec lequel le groupe est familier. Le commandement est clairement désigné, les rôles sont préassignés et documentés, et des exercices réguliers permettent à chaque acteur de connaître sa place dans le dispositif. Cette organisation a été adaptée aux incidents cyber, permettant une réponse coordonnée qui distingue clairement les niveaux opérationnel, de coordination et exécutif.

Intégrer les fonctions non techniques dans la réponse

La réponse à un incident cyber d'ampleur significative doit intégrer des fonctions qui dépassent le périmètre technique. La direction juridique gère les obligations de notification et les risques de responsabilité. La direction de la communication gère les communications internes et externes. Les ressources humaines gèrent les aspects liés aux collaborateurs. La direction financière gère les impacts budgétaires et l'assurance. Ces fonctions doivent être intégrées dans la structure de réponse dès la conception du plan, pas appelées en urgence le jour de l'incident.

Tester la structure de commandement

La structure de commandement de crise n'a de valeur que si elle est testée. Les exercices doivent inclure des scénarios qui mettent en jeu des décisions difficiles : quand escalader au niveau exécutif, comment coordonner des équipes distantes, comment gérer des communications contradictoires. Ces exercices révèlent les zones de friction dans la structure et permettent de les corriger avant qu'un incident réel ne les expose.

Cas Asie Samsung (bonnes pratiques) — Samsung Electronics a structuré une organisation de réponse aux incidents coordonnée au niveau mondial, avec des responsables désignés dans chaque région et une structure de commandement centrale pour les incidents d'ampleur globale. Cette organisation inclut des représentants de toutes les fonctions concernées (IT, juridique, communication, commercial) et est testée annuellement à travers des exercices de simulation incluant le niveau exécutif.

Articles similaires

Pourquoi aucune organisation n’est réellement prête à gérer un incident cyber

Aucune organisation n'est totalement prête à gérer un incident cyber. L'écart entre préparation théorique et préparation effective est considérable — et déterminant dans la gestion de crise.

24 mai 2026 7 min

Les premières heures après une attaque : ce qui fait la différence

Les premières heures d'un incident cyber sont déterminantes. La qualité de la réponse initiale dépend de la préparation — pas de l'improvisation sous pression.

24 mai 2026 7 min

Les erreurs les plus fréquentes lors de la gestion d’un incident

Les erreurs de gestion d'incident sont récurrentes et documentées : sous-estimation du périmètre, isolation technique, décisions différées, communication défaillante, absence de retour d'expérience.

24 mai 2026 7 min
WhatsApp